JP2006165881A - Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server - Google Patents

Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server Download PDF

Info

Publication number
JP2006165881A
JP2006165881A JP2004353000A JP2004353000A JP2006165881A JP 2006165881 A JP2006165881 A JP 2006165881A JP 2004353000 A JP2004353000 A JP 2004353000A JP 2004353000 A JP2004353000 A JP 2004353000A JP 2006165881 A JP2006165881 A JP 2006165881A
Authority
JP
Japan
Prior art keywords
signature
data
verification
certificate
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004353000A
Other languages
Japanese (ja)
Inventor
Reiko Abe
玲子 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2004353000A priority Critical patent/JP2006165881A/en
Publication of JP2006165881A publication Critical patent/JP2006165881A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To shorten a signature verification time for making it unnecessary to verify a certificate in signature verification. <P>SOLUTION: At the time of preparing a signature by using a signature preparation user certificate, a signature preparation user PC 10 transmits the signature preparation user certificate to a certificate verification server 20 in order to receive the verification of the signature preparation user certificate. The certificate verification server 20 verifies the received signature preparation user certificate, and returns server signature data 1 including the verification result to the signature preparation user PC 10. The signature preparation user PC 10 prepares terminal signature data 2 by using the server signature data 1 and a text to be signed as the object of signature, and transmits the terminal signature data 2 to a signature verification user PC 30. The signature verification user PC 30 receives the terminal signature data 2 from the signature preparation user PC 10, and verifies the signature included in the terminal signature data 2. The verification result of the signature preparation user certificate is included in the terminal signature data 2 so that it is not necessary for the signature verification user PC 30 to verify the signature preparation user certificate. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、電子署名を含む署名データを作成する署名データ作成システムに関する。   The present invention relates to a signature data creation system that creates signature data including an electronic signature.

従来のPKI(Public Key Infrastructure:公開鍵基盤)方式を用いた署名の検証は、署名値検証と証明書検証をあわせて行う事によって、検証を行っていた(署名値検証と証明書検証を組み合わせた一般的な署名検証方法)。   Signature verification using the conventional PKI (Public Key Infrastructure) method is performed by combining signature value verification and certificate verification (combining signature value verification and certificate verification). General signature verification method).

しかし、検証作業は時間がかかることもあり面倒なため、検証結果などの検証履歴をログとして署名付与して保管することで、過去に行われた検証処理を再度行う必要をなくすシステムなどがあった(例えば、特許文献1)。   However, verification work can be time consuming and cumbersome, so there is a system that eliminates the need to re-execute verification processing that has been performed in the past by assigning and storing verification history such as verification results as a log. (For example, Patent Document 1).

特許文献1は、ある署名文書に対する署名検証の履歴を他の必要な情報とともに署名しておく事で、過去に署名検証が行われたことを保障し、再度署名検証する手間を省くシステムである。ただし、特許文献1では、署名作成検証の処理自体を短縮する手段については何も言及されておらず、署名検証処理自体の処理時間短縮を可能とするものではない。   Patent Document 1 is a system that guarantees that signature verification has been performed in the past by signing a history of signature verification with respect to a certain signature document together with other necessary information, and saves the trouble of performing signature verification again. . However, Patent Document 1 does not mention anything about the means for shortening the signature creation verification process itself, and does not allow the processing time of the signature verification process itself to be shortened.

証明書検証は、一般的に時間がかかる事が問題である。証明書を証明する機関の証明書、その機関を証明する機関の証明書などと、証明書を何件も遡って大元となる信頼できる署名機関まで辿って証明書検証が行なわれるからである。あるいは、失効された証明書のリストであるCRL(Certificate Revocation List:証明書失効リスト)との検証などと同時に行なわれるからである。   The problem with certificate verification is that it generally takes time. This is because the certificate is verified by tracing the certificate back to the original trusted signing authority, such as the certificate of the authority that certifies the certificate, the certificate of the authority that certifies the certificate, etc. . Alternatively, it is performed simultaneously with verification with a CRL (Certificate Revocation List) which is a list of revoked certificates.

このため、重要度の低い文書に対する署名検証システムでは、検証処理は署名値検証しか行わないといったケースも存在する。しかし、証明書検証せず、署名値検証のみ行っただけでは、署名作成に使われた証明書が信頼できる証明書であるのかどうかの判断ができないため、電子データのセキュリティ面については問題がある。
特開2002−99843 For this reason, in a signature verification system for a document with low importance, there is a case where the verification processing only performs signature value verification. However, there is a problem with the security aspect of electronic data because it is not possible to determine whether the certificate used for signature creation is a trusted certificate only by performing signature value verification without performing certificate verification. .
JP 2002-99843

この発明は上記のような問題点を解決するためになされたもので、署名検証時の時間短縮を目的とする。   The present invention has been made to solve the above-described problems, and aims to shorten the time for signature verification.

本発明の署名データ作成システムは、
証明書データを使用して電子署名を作成し、前記電子署名を含む署名データを作成し、作成した前記署名データを送信する署名データ作成端末と、前記証明書データを検証する証明書検証サーバとを備えた署名データ作成システムにおいて、
前記署名データ作成端末は、
前記証明書データを前記証明書検証サーバに送信し、
前記証明書検証サーバは、
前記証明書データを受信し、受信した前記証明書データを検証し、検証結果をサーバ側検証結果として前記署名データ作成端末に送信し、
前記署名データ作成端末は、
前記サーバ側検証結果を受信し、前記電子署名と受信した前記サーバ側検証結果とを含む前記署名データを作成し、作成した前記署名データを所定の端末に送信することを特徴とする。 The signature data creation system of the present invention includes:
A signature data creating terminal that creates an electronic signature using certificate data, creates signature data including the electronic signature, and transmits the created signature data; a certificate verification server that verifies the certificate data; In the signature data creation system with
The signature data creation terminal
Sending the certificate data to the certificate validation server;
The certificate validation server
Receiving the certificate data, verifying the received certificate data, and sending a verification result to the signature data creation terminal as a server-side verification result;
The signature data creation terminal
The server-side verification result is received, the signature data including the electronic signature and the received server-side verification result is generated, and the generated signature data is transmitted to a predetermined terminal.

本発明によれば、署名データ作成端末は署名データ作成時に証明書の検証を受け、検証結果を署名データに含める。このため、署名データを受信した端末は、署名検証作業時における証明書検証を省略することができ、検証作業の時間短縮が可能となる。   According to the present invention, the signature data creation terminal receives the verification of the certificate when creating the signature data, and includes the verification result in the signature data. For this reason, the terminal that has received the signature data can omit the certificate verification at the time of the signature verification work, and the time for the verification work can be shortened.

実施の形態1.
図1〜図7を用いて実施の形態1を説明する。図1は、簡易証明書検証システム100(署名データ作成システムの一例)の全体を示す構成図である。図2は、証明書検証サーバ20により作成されたサーバ署名データ1の構成を示す図である。図3は、署名作成ユーザPC10(署名データ作成端末の一例)により作成された端末署名データ2の構成を表している。図4は、図3の端末署名データ2のデータ構成をXML署名に適用した場合の簡易的な表記法を示す図である。図5は、簡易証明書検証システム100の動作を示す図である。図6は、簡易証明書検証システム100の動作を示すフローチャートである。図7は、簡易証明書検証システム100のシーケンス図である。 Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS. FIG. 1 is a configuration diagram showing the entire simple certificate verification system 100 (an example of a signature data creation system). FIG. 2 is a diagram showing a configuration of the server signature data 1 created by the certificate verification server 20. FIG. 3 shows the configuration of the terminal signature data 2 created by the signature creation user PC 10 (an example of a signature data creation terminal). FIG. 4 is a diagram showing a simple notation when the data structure of the terminal signature data 2 of FIG. 3 is applied to an XML signature. FIG. 5 is a diagram illustrating the operation of the simple certificate verification system 100. FIG. 6 is a flowchart showing the operation of the simple certificate verification system 100. FIG. 7 is a sequence diagram of the simple certificate verification system 100.

図1に示すように、簡易証明書検証システム100は、署名作成ユーザPC10、証明書検証サーバ20、及び署名検証ユーザPC30(署名検証端末の一例)を備える。署名作成ユーザPC10、証明書検証サーバ20及び署名検証ユーザPC30は、図示しないネットワークに接続しており、相互に通信可能である。署名作成ユーザPC10及び証明書検証サーバ20は、いずれも自己の作成した電子署名を含む署名データを作成する。以下、証明書検証サーバ20の作成する署名データを「サーバ署名データ1」と呼び、署名作成ユーザPC10の作成する署名データを「端末署名データ2」と呼ぶ。   As shown in FIG. 1, the simple certificate verification system 100 includes a signature creation user PC 10, a certificate verification server 20, and a signature verification user PC 30 (an example of a signature verification terminal). The signature creation user PC 10, the certificate verification server 20, and the signature verification user PC 30 are connected to a network (not shown) and can communicate with each other. Each of the signature creation user PC 10 and the certificate verification server 20 creates signature data including an electronic signature created by itself. Hereinafter, the signature data created by the certificate verification server 20 is referred to as “server signature data 1”, and the signature data created by the signature creation user PC 10 is referred to as “terminal signature data 2”.

簡易証明書検証システム100の概略を説明する。
(1)署名作成ユーザPC10は、署名作成ユーザ証明書(証明書データの一例)を使用して署名を作成するときに、署名作成ユーザ証明書の検証を受けるため、署名作成ユーザ証明書を証明書検証サーバ20に送信する。
(2)証明書検証サーバ20は、受信した署名作成ユーザ証明書を検証し、その検証結果(以下、サーバ側検証結果という)を含むサーバ署名データ1(サーバ側署名包含データの一例)を、署名作成ユーザPC10に返信する。なお、以下では、証明書検証サーバ20が署名作成ユーザPC10から受信し、かつ、検証を行った「署名作成ユーザ証明書」を「検証済み証明書データ」という場合がある。また、証明書検証サーバ20が受信しておらず検証を行っていない「署名作成ユーザ証明書」を「未検証証明書データ」という場合がある。
(3)署名作成ユーザPC10は、サーバ署名データ1及び署名したい本文とを署名対象として、端末署名データ2(署名データの一例)を作成し、署名検証ユーザPC30に送信する。
(4)署名検証ユーザPC30は、署名作成ユーザPC10から端末署名データ2を受信し、端末署名データ2に含まれる署名を検証する。 An outline of the simple certificate verification system 100 will be described.
(1) The signature creation user PC 10 certifies the signature creation user certificate in order to receive verification of the signature creation user certificate when creating a signature using the signature creation user certificate (an example of certificate data). To the certificate verification server 20.
(2) The certificate verification server 20 verifies the received signature creation user certificate, and obtains server signature data 1 (an example of server-side signature inclusion data) including the verification result (hereinafter referred to as server-side verification result), A reply is sent to the signature creation user PC 10. In the following, the “signature creation user certificate” received by the certificate validation server 20 from the signature creation user PC 10 and verified may be referred to as “verified certificate data”. A “signature creation user certificate” that has not been received and not verified by the certificate verification server 20 may be referred to as “unverified certificate data”.
(3) The signature creation user PC 10 creates terminal signature data 2 (an example of signature data) using the server signature data 1 and the text to be signed as signature targets, and transmits the signature data to the signature verification user PC 30.
(4) The signature verification user PC 30 receives the terminal signature data 2 from the signature creation user PC 10 and verifies the signature included in the terminal signature data 2.

次に署名作成ユーザPC10の構成を説明する。署名作成ユーザPC10は、他の装置とデータのやりとりを行う署名作成側データ送受信部11(署名作成側通信部の一例)、電子署名を作成し及び端末署名データ2を作成するユーザ側署名作成部12(署名作成部の一例)、電子署名の作成に使用する署名作成ユーザ証明書を記憶する署名作成ユーザ証明書記憶部13(証明書データ記憶部)、及び証明書検証サーバ20から返信される検証結果を含むサーバ署名データ1を記憶する検証結果記憶部14とを備える。   Next, the configuration of the signature creation user PC 10 will be described. The signature creation user PC 10 includes a signature creation side data transmission / reception unit 11 (an example of a signature creation side communication unit) that exchanges data with other devices, a user side signature creation unit that creates an electronic signature and creates terminal signature data 2 12 (an example of a signature creation unit), a signature creation user certificate storage unit 13 (certificate data storage unit) that stores a signature creation user certificate used to create an electronic signature, and a certificate verification server 20 A verification result storage unit 14 for storing the server signature data 1 including the verification result.

次に証明書検証サーバ20の構成を説明する。証明書検証サーバ20は、他の装置とデータのやりとりを行うサーバ側データ送受信部21、署名作成ユーザPC10から受信した署名作成ユーザ証明書を検証する証明書検証部22、電子署名を作成し及び検証結果を含むサーバ署名データ1を作成するサーバ側署名作成部23、及び自己を証明する証明書検証サーバ証明書を記憶する証明書検証サーバ証明書記憶部24を備える。   Next, the configuration of the certificate verification server 20 will be described. The certificate verification server 20 includes a server-side data transmission / reception unit 21 that exchanges data with other devices, a certificate verification unit 22 that verifies a signature creation user certificate received from the signature creation user PC 10, creates an electronic signature, and A server-side signature creation unit 23 that creates server signature data 1 including a verification result, and a certificate verification server certificate storage unit 24 that stores a certificate verification server certificate that certifies itself are provided.

次に署名検証ユーザPC30の構成を説明する。署名検証ユーザPC30は、他の装置とデータのやりとりを行う署名検証側データ送受信部31、署名作成ユーザPC10から受信した端末署名データ2の署名を検証する署名検証部32、及び取得した証明書検証サーバ証明書を格納する検証端末側記憶部34とを備える。また、署名検証部32は「未検証証明書データ」と「検証済み証明書データ」とをバイナリ値として比較するバイナリ値比較部33を備える。   Next, the configuration of the signature verification user PC 30 will be described. The signature verification user PC 30 includes a signature verification side data transmission / reception unit 31 that exchanges data with other devices, a signature verification unit 32 that verifies the signature of the terminal signature data 2 received from the signature creation user PC 10, and the acquired certificate verification. And a verification terminal storage unit 34 for storing a server certificate. In addition, the signature verification unit 32 includes a binary value comparison unit 33 that compares “unverified certificate data” and “verified certificate data” as binary values.

次に、図5〜図7を参照して簡易証明書検証システム100の具体的な動作を説明する。まず、証明書検証サーバ20の動作を説明する。
(1)署名作成ユーザPC10は、ユーザによる署名に用いる「署名作成ユーザ証明書」を、署名作成側データ送受信部11により証明書検証サーバ20へ送信する(S101)。
(2)証明書検証サーバ20は、サーバ側データ送受信部21により、「署名作成ユーザ証明書」を受信する。
(3)証明書検証サーバ20は、証明書検証部22により、署名作成ユーザPC10から受信した「署名作成ユーザ証明書」に対して、「証明書検証」を行う(S102)。以下、証明書検証部22による「署名作成ユーザ証明書」の検証を「証明書検証」という。
(4)その後、サーバ側署名作成部23は、(a)証明書検証部22による「証明書検証」によって得られた「署名作成ユーザ証明書の検証結果」(サーバ側検証結果)、(b)「検証済み証明書データ」、(c)「署名作成ユーザ証明書」を検証した時刻を示す「時刻情報」などを署名対象とし、「証明書検証サーバ証明書」を用いて署名値(サーバ側署名の一例)を作成し、及び「サーバ署名データ1」を作成する(S103)。署名対象については、(a)「サーバ側検証結果」、及び(b)「検証済み証明書データ」は、必須の署名対象とする。その他、(c)「時刻情報」などはオプションであり、任意の値を署名対象要素とする。また、サーバ側検証結果は、システム構築の際の取り決めに従った任意の値でよい。図2に、サーバ側署名作成部23が作成する「サーバ署名データ1」の一例を示す。図2に示すように、(a)「サーバ側検証結果」、及び(b)「検証済み証明書データ」を署名対象として署名がされている。すなわち、「サーバ署名データ1」は、(a)「サーバ側検証結果」、及び(b)「検証済み証明書データ」を署名対象とし、証明書検証サーバ20による署名値を含む。
(5)また、通常では署名に用いた証明書は署名データに添付することが主流である。しかし、本実施の形態1では、証明書検証サーバ20が署名に用いた証明書である「証明書検証サーバ証明書」は、「サーバ署名データ1」に添付しない。「証明書検証サーバ証明書」は、検証の際に必要となるが、本実施の形態1では、後に署名検証ユーザPC30が証明書検証サーバ20から直接「証明書検証サーバ証明書」を取得(後述するS108)して検証に用いること想定しており、不要である。
(6)証明書検証サーバ20は、サーバ側署名作成部23が作成した「サーバ署名データ1」を、サーバ側データ送受信部21を使用して署名作成ユーザPC10へ返信する(S104)。 Next, a specific operation of the simple certificate verification system 100 will be described with reference to FIGS. First, the operation of the certificate verification server 20 will be described.
(1) The signature creation user PC 10 transmits a “signature creation user certificate” used for the signature by the user to the certificate verification server 20 by the signature creation side data transmission / reception unit 11 (S101).
(2) The certificate verification server 20 receives the “signature creation user certificate” by the server-side data transmission / reception unit 21.
(3) The certificate verification server 20 performs “certificate verification” on the “signature generation user certificate” received from the signature generation user PC 10 by the certificate verification unit 22 (S102). Hereinafter, the verification of the “signature creation user certificate” by the certificate verification unit 22 is referred to as “certificate verification”.
(4) Thereafter, the server-side signature creation unit 23 (a) “signature creation user certificate verification result” (server-side verification result) obtained by “certificate verification” by the certificate verification unit 22 (b) ) “Validated certificate data”, (c) “time information” indicating the time when “signature creation user certificate” was verified, and the like, and the signature value (server (Example of side signature) and “server signature data 1” are created (S103). Regarding signature targets, (a) “server-side verification result” and (b) “verified certificate data” are required signature targets. In addition, (c) “time information” and the like are optional, and an arbitrary value is used as a signature target element. Further, the server-side verification result may be an arbitrary value according to the rules for system construction. FIG. 2 shows an example of “server signature data 1” created by the server-side signature creation unit 23. As shown in FIG. 2, (a) “server-side verification result” and (b) “verified certificate data” are signed as signature targets. That is, “server signature data 1” includes (a) “server-side verification result” and (b) “verified certificate data” as signature targets, and includes a signature value from the certificate verification server 20.
(5) In general, the certificate used for signature is usually attached to the signature data. However, in the first embodiment, the “certificate verification server certificate” that is the certificate used for the signature by the certificate verification server 20 is not attached to the “server signature data 1”. The “certificate verification server certificate” is required for the verification, but in the first embodiment, the signature verification user PC 30 later acquires the “certificate verification server certificate” directly from the certificate verification server 20 ( It is assumed that it will be used for verification in S108 described later, and is not necessary.
(6) The certificate verification server 20 returns “server signature data 1” created by the server side signature creation unit 23 to the signature creation user PC 10 using the server side data transmission / reception unit 21 (S104).

次に、証明書検証サーバ20から「サーバ署名データ1」を返信された署名作成ユーザPC10の動作を説明する。
(1)署名作成ユーザPC10では、署名作成側データ送受信部11が、証明書検証サーバ20の返信した「サーバ署名データ1」を受信する。検証結果記憶部14は、受信した「サーバ署名データ1」を格納する。
(2)ユーザ側署名作成部12は、証明書検証サーバ20から返信された「サーバ署名データ1」と、署名したい文書とを「署名対象要素」とし、「署名作成ユーザ証明書」(未検証証明書データである)を用いて署名値(電子署名の一例)を作成し及び「端末署名データ2」を作成する(S105)。
(3)ユーザ側署名作成部12の作成する「端末署名データ2」の例を、図3に示す。図3の例では、ユーザ側署名作成部12による署名の対象は、署名対象本文、「サーバ署名データ1」、及びユーザ側署名作成部12が作成した署名作成に使用した「署名作成ユーザ証明書」(未検証証明書データ)である。また、端末署名データ2は、ユーザ側署名作成部12の作成した署名値を含む。また、図4には、図3の構成をXML署名に適用した場合のデータ構成を示す。図4の記述はXML署名を簡略化したもので、詳細については標準化団体W3C(World Wide Web Consortium)のXML署名標準に基づく。XML署名方式にはEnveloped、Detached、Envelopingの3種類あるが、そのうちのEnveloping形式を用いた例である。
(4)署名作成ユーザPC10は、署名作成側データ送受信部11を介して、この「端末署名データ2」を署名検証ユーザPC30に送付する(S106)。 Next, the operation of the signature creation user PC 10 that has returned “server signature data 1” from the certificate verification server 20 will be described.
(1) In the signature creation user PC 10, the signature creation side data transmission / reception unit 11 receives “server signature data 1” returned from the certificate verification server 20. The verification result storage unit 14 stores the received “server signature data 1”.
(2) The user-side signature creation unit 12 sets “server signature data 1” returned from the certificate verification server 20 and the document to be signed as “signature target element”, and “signature creation user certificate” (unverified) A signature value (an example of an electronic signature) is created using certificate data), and "terminal signature data 2" is created (S105).
(3) An example of “terminal signature data 2” created by the user-side signature creation unit 12 is shown in FIG. In the example of FIG. 3, the signature target by the user side signature creation unit 12 is the signature target body, “server signature data 1”, and “signature creation user certificate used for signature creation created by the user side signature creation unit 12. (Unverified certificate data). The terminal signature data 2 includes a signature value created by the user-side signature creation unit 12. FIG. 4 shows a data configuration when the configuration of FIG. 3 is applied to an XML signature. The description in FIG. 4 is a simplified version of the XML signature, and details are based on the XML signature standard of the standardization organization W3C (World Wide Web Consortium). There are three types of XML signature schemes, Enveloped, Detached, and Enveloping, and an example of using the Enveloping format is shown.
(4) The signature creation user PC 10 sends this “terminal signature data 2” to the signature verification user PC 30 via the signature creation data transmitter / receiver 11 (S106).

次に、署名作成ユーザPC10から「端末署名データ2」を受信する署名検証ユーザPC30の動作を説明する。
(1)署名検証ユーザPC30では、署名検証側データ送受信部31が署名作成ユーザPC10の送付した「端末署名データ2」を受信する。
(2)署名検証部32は、署名作成ユーザPC10から受信した「端末署名データ2」を検証するため、まず「署名値検証」を行う(S107〜S110)。この「署名値検証」により、データの改竄がないことなどが確認できる。署名検証部32により「端末署名データ2」の「署名値検証」を行うためには、「署名作成ユーザ証明書」と「証明書検証サーバ証明書」とが必要となる。本実施の形態1では,署名検証ユーザPC30が、「未検証証明書データ」と「検証済み証明データ」とを使用して検証する。なお、実施の形態2では、「検証済み証明書データ」のみを使用する場合を述べる。
(3)「署名作成ユーザ証明書」は、「端末署名データ2」の中に存在する「未検証証明書データ」を用いる。
(4)「証明書検証サーバ証明書」については、署名検証ユーザPC30が直接に証明書検証サーバ20から取得する。なお、その都度取得する必要はなく、所有していない場合(S107)に取得すればよい(S108)。
(5)署名検証部32は、「未検証証明書データ」と「証明書検証サーバ証明書」とを用いて「署名値検証」を行う(S109、S110)。
(6)次に、署名検証部32は、S110でYesの場合、「未検証証明書データ」が正当なものであるか確認するため、「未検証証明書データ」と「検証済み証明書データ」とを比較する(S111、S112)。「証明書検証サーバ証明書」については、署名検証ユーザPC30が証明書検証サーバ20から直接取得したものであるため正当なものである。「未検証証明書データ」は署名作成ユーザPC10が署名に使用したものであるが、正当な証明書であるかどうかは証明書検証サーバ20により未確認状態である。このため、「未検証証明書データ」が「端末署名データ2」の署名文書中に存在する「検証済み証明書データ」と同一であるかどうかを比較する(S111、S112)。この比較は、バイナリ値比較部33が、「未検証証明書データ」と「検証済み証明書データ」とをバイナリ値として比較することにより行う。比較の結果、同一でなければ「検証済み証明書データ」と署名作成ユーザPC10が署名に用いた「未検証証明書データ」とは異なるものであることが分かる。この場合、署名検証は失敗となる(S115)。
(7)さらに、署名検証部32は、「端末署名データ2」の中に存在する「検証済み証明書データ」のサーバ側検証結果をチェックし(S113、S114)、「検証済み証明書データ」の有効性を確認する。有効であれば署名検証は成功(S116)となる。 Next, the operation of the signature verification user PC 30 that receives “terminal signature data 2” from the signature creation user PC 10 will be described.
(1) In the signature verification user PC 30, the signature verification side data transmission / reception unit 31 receives “terminal signature data 2” sent from the signature creation user PC 10.
(2) The signature verification unit 32 first performs “signature value verification” in order to verify “terminal signature data 2” received from the signature creation user PC 10 (S107 to S110). By this “signature value verification”, it can be confirmed that the data is not falsified. In order to perform “signature value verification” of “terminal signature data 2” by the signature verification unit 32, a “signature creation user certificate” and a “certificate verification server certificate” are required. In the first embodiment, the signature verification user PC 30 verifies using “unverified certificate data” and “verified certificate data”. In the second embodiment, a case where only “verified certificate data” is used will be described.
(3) “Unverified certificate data” present in “terminal signature data 2” is used as “signature creation user certificate”.
(4) The “certificate verification server certificate” is acquired directly from the certificate verification server 20 by the signature verification user PC 30. In addition, it is not necessary to acquire each time, and may be acquired when it is not owned (S107) (S108).
(5) The signature verification unit 32 performs “signature value verification” using “unverified certificate data” and “certificate verification server certificate” (S109, S110).
(6) Next, in the case of Yes in S110, the signature verification unit 32 confirms whether the “unverified certificate data” is valid, so that “unverified certificate data” and “verified certificate data” Are compared with each other (S111, S112). The “certificate verification server certificate” is valid because it is obtained directly from the certificate verification server 20 by the signature verification user PC 30. The “unverified certificate data” is used by the signature creation user PC 10 for the signature, but it is unconfirmed by the certificate verification server 20 whether it is a valid certificate. Therefore, it is compared whether “unverified certificate data” is the same as “verified certificate data” present in the signature document of “terminal signature data 2” (S111, S112). This comparison is performed by the binary value comparison unit 33 comparing “unverified certificate data” and “verified certificate data” as binary values. As a result of comparison, it is understood that “verified certificate data” and “unverified certificate data” used for signature by the signature creation user PC 10 are different from each other if they are not identical. In this case, signature verification fails (S115).
(7) Further, the signature verification unit 32 checks the server-side verification result of “verified certificate data” present in “terminal signature data 2” (S113, S114), and “verified certificate data”. Confirm the validity of. If valid, the signature verification is successful (S116).

以上のように実施の形態1では、署名作成ユーザPC10の署名作成時に証明書検証サーバ20が証明書検証作業を行う。そして署名作成ユーザPC10は、サーバ側検証結果を署名対象に含める。このため、署名検証ユーザPC30の署名検証作業時における証明書検証を省略することができ、検証作業の時間短縮が可能となる。特に、各種データを受け付けるシステムなどで大量に署名検証を行うといった場合、検証処理時間がかかることによりシステム性能の低下が起こる可能性が高いので有効である。   As described above, in the first embodiment, the certificate verification server 20 performs the certificate verification work when the signature generation user PC 10 generates a signature. The signature creation user PC 10 includes the server-side verification result in the signature target. For this reason, certificate verification at the time of signature verification work of the signature verification user PC 30 can be omitted, and the time for verification work can be shortened. In particular, when a large amount of signature verification is performed in a system that accepts various data, it is effective because it is highly possible that the system performance is degraded due to the verification processing time.

さらに、一つの署名文書が大量のあて先に送付され、それぞれ検証されるケースが多いが、この場合検証サーバへの負荷が集中しサーバシステム性能の低下が起こる可能性が高いため、検証処理の負荷軽減は重要である。   In addition, there are many cases where a single signed document is sent to a large number of destinations and verified. In this case, the load on the verification server is concentrated, and the server system performance is likely to deteriorate. Mitigation is important.

また、証明書検証サーバにて作成する署名対象に証明書を検証した時刻を示す時刻情報を含めることで、署名検証した時刻での証明書の有効性を確認することができる。具体的には、署名つき文書を扱うワークフローや、署名付き文書の長期保存を行う際など、署名作成から証明書検証までの時刻にタイムラグが発生する場合に有効である。   In addition, the validity of the certificate at the time when the signature is verified can be confirmed by including time information indicating the time when the certificate is verified in the signature target created by the certificate verification server. Specifically, it is effective when a time lag occurs between the signature creation and the certificate verification, such as a workflow for handling a signed document or long-term storage of a signed document.

また、署名の事前に証明書検証サーバ20により検証作業を行うため、誤って失効された証明書を用いて署名してしまうといった事柄が防止できる。   In addition, since the verification work is performed by the certificate verification server 20 in advance of signing, it is possible to prevent a situation in which a certificate is accidentally revoked.

実施の形態2.
図8を参照して実施の形態2を説明する。実施の形態2は、図6のS111のステップを省略した実施形態である。実施の形態1では、署名検証ユーザPC30は、S109において「端末署名データ2」に含まれる「未検証証明書データ」を使用して署名作成ユーザPC10による署名値を検証した。これに対して実施の形態2では、署名検証ユーザPC30の署名検証部32は、「端末署名データ2」に含まれる「検証済み証明書データ」を直接使用し、署名作成ユーザPC10による署名値を検証する。よって、図6のS111のステップにおける「未検証証明書データ」と「検証済み証明書データ」との比較のステップは、不要となる。 Embodiment 2. FIG.
The second embodiment will be described with reference to FIG. The second embodiment is an embodiment in which step S111 in FIG. 6 is omitted. In the first embodiment, the signature verification user PC 30 verifies the signature value by the signature creation user PC 10 using “unverified certificate data” included in “terminal signature data 2” in S109. On the other hand, in the second embodiment, the signature verification unit 32 of the signature verification user PC 30 directly uses the “verified certificate data” included in the “terminal signature data 2”, and uses the signature value by the signature creation user PC 10 as the signature value. Validate. Therefore, the step of comparing “unverified certificate data” and “verified certificate data” in step S111 of FIG. 6 is not necessary.

図8の動作を簡単に説明する。S201〜S208は、図6のS101〜S108と同じである。
(1)S209において、署名検証ユーザPC30の署名検証部32は、「端末署名データ2」に含まれる「検証済み証明書データ」を使用して署名作成ユーザPC10による署名値を検証する。
(2)S210において、検証が失敗した場合はS211に進み、署名検証は失敗となり終了する。検証が成功した場合はS212に進む。
(3)S212において、署名検証部32は、「端末署名データ2」に含まれるサーバ側検証結果を確認する。以下は図6と同様である。 The operation of FIG. 8 will be briefly described. S201 to S208 are the same as S101 to S108 in FIG.
(1) In S209, the signature verification unit 32 of the signature verification user PC 30 verifies the signature value by the signature creation user PC 10 using “verified certificate data” included in “terminal signature data 2”.
(2) If the verification fails in S210, the process proceeds to S211 and the signature verification fails and ends. If the verification is successful, the process proceeds to S212.
(3) In S212, the signature verification unit 32 checks the server-side verification result included in “terminal signature data 2”. The following is the same as FIG.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、署名作成ユーザPC10、証明書検証サーバ20、署名検証ユーザPC30が、それぞれネットワークに接続し、互いに通信可能な状態において、署名作成時に、署名作成ユーザPC10が証明書検証サーバ20に署名に使用する署名作成ユーザ証明書を送付し、証明書検証サーバ20では、署名作成ユーザPC10から送付された署名作成ユーザ証明書に対して検証を行い、証明書検証結果、時刻、検証した証明書などを署名対象として署名し、サーバ署名データ1を作成することを特徴とする。なお、サーバ署名データ1には証明書検証サーバ20の証明書検証サーバ証明書は添付しないことを特徴とする。   The signature data creation system described in the first embodiment and the second embodiment is configured so that the signature creation user PC 10, the certificate verification server 20, and the signature verification user PC 30 are connected to the network and can communicate with each other. At the time of creation, the signature creation user PC 10 sends a signature creation user certificate used for signature to the certificate verification server 20, and the certificate validation server 20 responds to the signature creation user certificate sent from the signature creation user PC 10. The server signature data 1 is created by performing verification, signing the certificate verification result, time, verified certificate, and the like as signature targets. The server signature data 1 is characterized in that the certificate verification server certificate of the certificate verification server 20 is not attached.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、署名作成ユーザPC10は、証明書検証サーバ20で作成されたサーバ署名データ1を受け取り、署名したい本文データを署名対象として署名し、「署名文書」を作成することを特徴とする。   In the signature data creation system described in the first and second embodiments, the signature creation user PC 10 receives the server signature data 1 created by the certificate verification server 20, and signs the text data to be signed as a signature target. And “signature document” is created.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、取得した正当な「証明書検証サーバの証明書」を使用して証明書検証サーバ20の署名値検証を行い、署名作成ユーザPC10の署名値検証については、「署名文書」中にある「署名作成ユーザの証明書」(未検証証明書データ)を用いて検証することを特徴とする。   The signature data creation system described in the first embodiment and the second embodiment performs signature value verification of the certificate verification server 20 using the obtained “certificate of the certificate verification server” and creates a signature. The signature value verification of the user PC 10 is characterized by verifying using the “signature creation user certificate” (unverified certificate data) in the “signature document”.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、「署名作成ユーザ証明書」(未検証証明書データ)が「検証済み証明書データ」と等しいことを確認するため、署名文書中にあり証明書検証サーバ20の署名対象のデータである「検証済み証明書データ」と、「未検証証明書データ」とをバイナリ値比較することを特徴とする。   The signature data creation system described in the first embodiment and the second embodiment performs the signature to confirm that “signature creation user certificate” (unverified certificate data) is equal to “verified certificate data”. It is characterized in that “validated certificate data” which is data to be signed by the certificate verification server 20 in the document is compared with “unverified certificate data” in binary value.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、証明書検証サーバ20のサーバ署名データに「時刻情報」を含めることにより、検証日時の特定を可能とし、特定日時での「検証済み証明書データ」の有効性の保障を可能とすることを特徴とする。   The signature data creation system described in the first embodiment and the second embodiment can specify the verification date and time by including “time information” in the server signature data of the certificate verification server 20. It is possible to guarantee the validity of “verified certificate data”.

以上実施の形態1、実施の形態2で説明した署名データ作成システムは、証明書検証サーバ20は、検証を行った「署名作成ユーザ証明書」(検証済み証明書データ)、その検証結果(サーバ側検証結果)、及び検証を実施した時刻(時刻情報)などを署名対象として「サーバ署名データ1」を作成し、署名作成ユーザPC10は、「サーバ署名データ1」と署名したい本文を署名対象として、自己の有する「署名作成ユーザ証明書」(未検証証明書データ)を使用して署名した「端末署名データ2」を作成し、最終的な署名文書形式してデータ保持することを特徴とする。   In the signature data creation system described in the first embodiment and the second embodiment, the certificate verification server 20 verifies the “signature creation user certificate” (verified certificate data) and the verification result (server). Side verification result) and the time (time information) at which the verification was performed are used as signature targets to create “server signature data 1”, and the signature creation user PC 10 sets “server signature data 1” as the signature target text. Creating “terminal signature data 2” signed using the “signature creation user certificate” (unverified certificate data) possessed by the user, and holding the data in the final signature document format .

実施の形態1における、簡易証明書検証システム100の全体を示す構成図である。1 is a configuration diagram illustrating an entire simple certificate verification system 100 according to Embodiment 1. FIG. 実施の形態1における、証明書検証サーバ20により作成されたサーバ署名データ1の構成を示す図である。4 is a diagram showing a configuration of server signature data 1 created by a certificate verification server 20 in the first embodiment. FIG. 実施の形態1における、署名作成ユーザPC10により作成された端末署名データ2の構成を表している。2 shows a configuration of terminal signature data 2 created by a signature creation user PC 10 in the first embodiment. 実施の形態1における、図3の端末署名データ2のデータ構成をXML署名に適用した場合の簡易的な表記法を示す図である。FIG. 4 is a diagram showing a simple notation method when the data configuration of terminal signature data 2 of FIG. 3 is applied to an XML signature in the first embodiment. 実施の形態1における、簡易証明書検証システム100の動作を示す図である。6 is a diagram illustrating an operation of the simple certificate verification system 100 according to Embodiment 1. FIG. 実施の形態1における、簡易証明書検証システム100の動作を示すフローチャートである。4 is a flowchart illustrating an operation of the simple certificate verification system 100 according to the first embodiment. 実施の形態1における、簡易証明書検証システム100のシーケンス図である。3 is a sequence diagram of a simple certificate verification system 100 according to Embodiment 1. FIG. 実施の形態2における、簡易証明書検証システム100の動作を示すフローチャートである。10 is a flowchart illustrating an operation of the simple certificate verification system 100 according to the second embodiment.

符号の説明Explanation of symbols

1 サーバ署名データ、2 端末署名データ、2a XML署名、10 署名作成ユーザPC、11 署名作成側データ送受信部、12 ユーザ側署名作成部、13 署名作成ユーザ証明書記憶部、14 検証結果記憶部、100 簡易証明書検証システム、20 証明書検証サーバ、21 サーバ側データ送受信部、22 証明書検証部、23 サーバ側署名作成部、24 証明書検証サーバ証明書記憶部、30 署名検証ユーザPC、31 署名検証側データ送受信部、32 署名検証部、33 バイナリ値比較部、34 検証端末側記憶部。   1 server signature data, 2 terminal signature data, 2a XML signature, 10 signature creation user PC, 11 signature creation side data transmission / reception unit, 12 user side signature creation unit, 13 signature creation user certificate storage unit, 14 verification result storage unit, DESCRIPTION OF SYMBOLS 100 Simple certificate verification system, 20 Certificate verification server, 21 Server side data transmission / reception part, 22 Certificate verification part, 23 Server side signature preparation part, 24 Certificate verification server certificate memory | storage part, 30 Signature verification user PC, 31 Signature verification side data transmission / reception unit, 32 Signature verification unit, 33 Binary value comparison unit, 34 Verification terminal side storage unit.

Claims (14)

証明書データを使用して電子署名を作成し、前記電子署名を含む署名データを作成し、作成した前記署名データを送信する署名データ作成端末と、前記証明書データを検証する証明書検証サーバとを備えた署名データ作成システムにおいて、
前記署名データ作成端末は、
前記証明書データを前記証明書検証サーバに送信し、
前記証明書検証サーバは、
前記証明書データを受信し、受信した前記証明書データを検証し、検証結果をサーバ側検証結果として前記署名データ作成端末に送信し、
前記署名データ作成端末は、
前記サーバ側検証結果を受信し、前記電子署名と受信した前記サーバ側検証結果とを含む前記署名データを作成し、作成した前記署名データを所定の端末に送信することを特徴とする署名データ作成システム。 A signature data creating terminal that creates an electronic signature using certificate data, creates signature data including the electronic signature, and transmits the created signature data; a certificate verification server that verifies the certificate data; In the signature data creation system with
The signature data creation terminal
Sending the certificate data to the certificate validation server;
The certificate validation server
Receiving the certificate data, verifying the received certificate data, and sending a verification result to the signature data creation terminal as a server-side verification result;
The signature data creation terminal
Receiving the server-side verification result, generating the signature data including the electronic signature and the received server-side verification result, and transmitting the generated signature data to a predetermined terminal system. 前記署名データ作成システムは、さらに、
前記署名データ作成端末が送信した前記署名データを受信し、受信した前記署名データに含まれる前記サーバ側検証結果に基づいて、受信した前記署名データに含まれる前記電子署名を検証する署名検証端末を備えたことを特徴とする署名データ作成システム。 The signature data creation system further includes:
A signature verification terminal that receives the signature data transmitted by the signature data creation terminal and verifies the electronic signature included in the received signature data based on the server-side verification result included in the received signature data; A signature data creation system characterized by comprising. 電子署名を作成し、作成した前記電子署名を含むデータを作成する署名データ作成端末において、
前記電子署名の作成に使用する証明書データを記憶する証明書データ記憶部と、
前記証明書データ記憶部が記憶する前記証明書データが正当かどうかを示す検証結果を記憶する検証結果記憶部と、
前記証明書データ記憶部が記憶する前記証明書データを使用して前記電子署名を作成し、作成した前記電子署名と前記検証結果記憶部が記憶する前記検証結果とを含む署名データを作成する署名作成部と、
前記署名作成部が作成した前記署名データを所定の端末に送信する署名作成側通信部と
を備えたことを特徴とする署名データ作成端末。 In a signature data creation terminal that creates an electronic signature and creates data including the created electronic signature,
A certificate data storage unit for storing certificate data used to create the electronic signature;
A verification result storage unit that stores a verification result indicating whether the certificate data stored in the certificate data storage unit is valid;
A signature that creates the electronic signature using the certificate data stored in the certificate data storage unit and generates signature data including the generated electronic signature and the verification result stored in the verification result storage unit The creation department;
A signature data creation terminal, comprising: a signature creation side communication unit that transmits the signature data created by the signature creation unit to a predetermined terminal. 前記署名作成側通信部は、
前記証明書データを検証する証明書検証サーバに前記証明書データ記憶部が記憶する前記証明書データを送信し、前記証明書検証サーバから前記証明書データの検証結果をサーバ側検証結果として受信し、
前記検証結果記憶部は、
前記署名作成側通信部が受信した前記サーバ側検証結果を記憶し、
前記署名作成部は、
前記署名データに含める前記検証結果として、前記検証結果記憶部が記憶した前記サーバ側検証結果を前記署名データに含めることを特徴とする請求項3記載の署名データ作成端末。 The signature creation side communication unit
The certificate data stored in the certificate data storage unit is transmitted to a certificate verification server that verifies the certificate data, and a verification result of the certificate data is received as a server-side verification result from the certificate verification server. ,
The verification result storage unit
Storing the server side verification result received by the signature creation side communication unit;
The signature creation unit
4. The signature data creation terminal according to claim 3, wherein the server-side verification result stored in the verification result storage unit is included in the signature data as the verification result included in the signature data. 前記署名作成側通信部は、
前記サーバ側検証結果を署名対象として前記証明書検証サーバにより作成された電子署名を示すサーバ側署名を前記証明書検証サーバから受信し、
前記署名作成部は、
前記署名作成側通信部が受信した前記サーバ側署名を前記署名データに含めることを特徴とする請求項4記載の署名データ作成端末。 The signature creation side communication unit
Receiving a server-side signature indicating an electronic signature created by the certificate verification server from the server-side verification result as a signature target, from the certificate verification server;
The signature creation unit
5. The signature data creation terminal according to claim 4, wherein the server side signature received by the signature creation side communication unit is included in the signature data. 前記署名作成側通信部は、
前記サーバ側検証結果と前記サーバ側署名とを受信する場合には、前記サーバ側検証結果と前記サーバ側署名とを含むサーバ側署名包含データを前記証明書検証サーバから受信し、
前記署名作成部は、
前記署名作成側通信部が受信した前記サーバ側署名包含データと所定のデータとを署名対象として前記証明書データ記憶部が記憶する前記証明書データを使用して電子署名を作成し、作成した前記電子署名と、前記サーバ側署名包含データと、前記所定のデータとを含む前記署名データを作成することを特徴とする請求項5記載の署名データ作成端末。 The signature creation side communication unit
When receiving the server-side verification result and the server-side signature, server-side signature inclusion data including the server-side verification result and the server-side signature is received from the certificate verification server,
The signature creation unit
The electronic signature is created by using the certificate data stored in the certificate data storage unit as a signature object for the server side signature inclusion data and the predetermined data received by the signature creation side communication unit, and the created 6. The signature data creation terminal according to claim 5, wherein the signature data including the electronic signature, the server-side signature inclusion data, and the predetermined data is created. 前記署名作成側通信部が受信する前記サーバ側署名包含データは、さらに、
前記証明書検証サーバが前記証明書データを検証した日時を示す時刻情報を含むことを特徴とする請求項6記載の署名データ作成端末。 The server side signature inclusion data received by the signature creation side communication unit further includes:
7. The signature data creation terminal according to claim 6, further comprising time information indicating a date and time when the certificate verification server verifies the certificate data. 証明書データを検証する証明書検証サーバにおいて、
電子署名を作成するときに前記電子署名の作成に使用する前記証明書データの検証を求める署名データ作成端末から、前記証明書データを受信するサーバ側通信部と、
前記サーバ側通信部が受信した前記証明書データを検証する証明書検証部と
を備え、
前記サーバ側通信部は、
前記証明書検証部による前記証明書データの検証結果をサーバ側検証結果として前記署名データ作成端末に送信することを特徴とする証明書検証サーバ。 In the certificate verification server that verifies the certificate data,
A server-side communication unit that receives the certificate data from a signature data creation terminal that requests verification of the certificate data used to create the electronic signature when creating an electronic signature;
A certificate verification unit that verifies the certificate data received by the server-side communication unit;
The server side communication unit
A certificate verification server, wherein a verification result of the certificate data by the certificate verification unit is transmitted to the signature data creation terminal as a server-side verification result. 証明書データを使用して電子署名を作成する署名データ作成端末から前記電子署名を含むデータを受信し、受信した前記データに含まれる電子署名を検証する署名検証端末において、
前記署名データ作成端末が前記証明書データを使用して作成した前記電子署名と、前記証明書データが正当かどうかを示す検証結果とを含む署名データを前記署名データ作成端末から受信する検証端末側通信部と、
前記検証端末側通信部が受信した前記署名データに含まれる前記検証結果に基づいて、前記署名データに含まれる前記電子署名を検証する端末側検証部と
を備えたことを特徴とする署名検証端末。 In a signature verification terminal that receives data including the electronic signature from a signature data generation terminal that generates an electronic signature using certificate data, and verifies the electronic signature included in the received data,
The verification terminal side that receives the signature data including the electronic signature created by the signature data creation terminal using the certificate data and the verification result indicating whether the certificate data is valid from the signature data creation terminal A communication department;
A signature verification terminal comprising: a terminal-side verification unit that verifies the electronic signature included in the signature data based on the verification result included in the signature data received by the verification terminal-side communication unit . 前記検証端末側通信部が前記署名データ作成端末から受信する前記署名データに含まれる前記検証結果は、
前記証明書データを検証する証明書検証サーバが検証したサーバ側検証結果であり、
前記検証端末側通信部が前記署名データ作成端末から受信する署名データは、さらに、
前記証明書検証サーバが自己の保有するサーバ側証明書データを使用することにより前記サーバ側検証結果を署名対象として作成した電子署名を示すサーバ側署名を含み、
前記端末側検証部は、
前記検証端末側通信部が受信した前記署名データに含まれる前記サーバ側署名を検証することを特徴とする請求項9記載の署名検証端末。 The verification result included in the signature data received from the signature data creation terminal by the verification terminal side communication unit is:
A server-side verification result verified by a certificate verification server that verifies the certificate data;
The signature data that the verification terminal side communication unit receives from the signature data creation terminal further includes:
Including a server-side signature indicating an electronic signature created by using the server-side certificate data owned by the certificate verification server as a signature target;
The terminal side verification unit
The signature verification terminal according to claim 9, wherein the server-side signature included in the signature data received by the verification terminal-side communication unit is verified. 前記署名検証端末は、さらに、
前記サーバ側証明書データを格納する署名検証側記憶部を備え、
前記端末側検証部は、
前記署名検証側記憶部が格納する前記サーバ側証明書データに基づいて、前記サーバ側署名を検証することを特徴とする請求項10記載の署名検証端末。 The signature verification terminal further includes:
A signature verification storage unit for storing the server certificate data;
The terminal side verification unit
The signature verification terminal according to claim 10, wherein the server-side signature is verified based on the server-side certificate data stored in the signature verification-side storage unit. 証明書データを使用して電子署名を作成する署名データ作成端末から前記電子署名を含むデータを受信し、受信した前記データに含まれる電子署名を検証する署名検証端末において、
前記署名データ作成端末が検証を受けていない証明書データである未検証証明書データを使用して作成した前記電子署名と、前記未検証証明書データを検証し検証済み証明書データとして出力する証明書検証サーバが出力した前記検証済み証明書データと、前記証明書検証サーバによる前記検証済み証明書データの検証結果であるサーバ側検証結果とを含む署名データを、前記署名データ作成端末から受信する検証端末側通信部と、
前記検証端末側通信部が受信した前記署名データに含まれる前記検証済み証明書データと前記サーバ側検証結果とに基づいて、前記署名データに含まれる前記電子署名を検証する端末側検証部と
を備えたことを特徴とする署名検証端末。 In a signature verification terminal that receives data including the electronic signature from a signature data generation terminal that generates an electronic signature using certificate data, and verifies the electronic signature included in the received data,
The digital signature created using unverified certificate data which is certificate data that has not been verified by the signature data creation terminal, and a certificate that verifies the unverified certificate data and outputs it as verified certificate data The signature data including the verified certificate data output from the certificate verification server and the server-side verification result that is the verification result of the verified certificate data by the certificate verification server is received from the signature data creation terminal. Verification terminal side communication part,
A terminal-side verification unit that verifies the electronic signature included in the signature data based on the verified certificate data and the server-side verification result included in the signature data received by the verification terminal-side communication unit; A signature verification terminal characterized by comprising. 前記検証端末側通信部が前記署名データ作成端末から受信する前記署名データは、さらに、
前記未検証証明書データを含み、
前記端末側検証部は、
前記未検証証明書データを用いて前記署名データに含まれる前記電子署名を検証し、前記電子署名の検証が成功した場合に、前記署名データに含まれる前記未検証証明書データと前記検証済み証明書データとを比較し、比較結果に基づいて前記署名データに含まれる前記電子署名が正当かどうかをさらに検証することを特徴とする請求項12記載の署名検証端末。 The signature data that the verification terminal side communication unit receives from the signature data creation terminal further includes:
Including the unverified certificate data;
The terminal side verification unit
The electronic signature included in the signature data is verified using the unverified certificate data, and when the verification of the electronic signature is successful, the unverified certificate data and the verified certificate included in the signature data 13. The signature verification terminal according to claim 12, wherein the signature verification terminal further verifies whether the electronic signature included in the signature data is valid based on a comparison result. 前記端末側検証部は、
前記未検証証明書データと前記検証済み証明書データとを比較する場合に、バイナリ値として比較するバイナリ値比較部を備えたことを特徴とする請求項13記載の署名検証端末。 The terminal side verification unit
14. The signature verification terminal according to claim 13, further comprising a binary value comparison unit that compares the unverified certificate data with the verified certificate data as a binary value.
JP2004353000A 2004-12-06 2004-12-06 Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server Pending JP2006165881A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004353000A JP2006165881A (en) 2004-12-06 2004-12-06 Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004353000A JP2006165881A (en) 2004-12-06 2004-12-06 Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server

Publications (1)

Publication Number Publication Date
JP2006165881A true JP2006165881A (en) 2006-06-22

Family

ID=36667412

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004353000A Pending JP2006165881A (en) 2004-12-06 2004-12-06 Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server

Country Status (1)

Country Link
JP (1) JP2006165881A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008056619A1 (en) * 2006-11-09 2008-05-15 Canon Kabushiki Kaisha Content edit apparatus and content verification apparatus
WO2009093485A1 (en) * 2008-01-24 2009-07-30 Konica Minolta Holdings, Inc. Network system concerning authentication using electronic certificate, authentication server device, and authentication method
JP2011077933A (en) * 2009-09-30 2011-04-14 Secom Co Ltd Digital signature verifying apparatus
JP2018537022A (en) * 2015-10-14 2018-12-13 ケンブリッジ ブロックチェーン,エルエルシー System and method for managing digital identities

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002139996A (en) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> Signature verification supporting device, method for confirming certificate and validity of public key, digital signature verifying method, and digital signature generating method
JP2003143137A (en) * 2001-10-31 2003-05-16 Ntt Data Corp Apparatus and method for lapse confirmation
JP2005203819A (en) * 2004-01-13 2005-07-28 Hitachi Ltd Electronic signature verification system
JP2005252318A (en) * 2004-03-01 2005-09-15 Hitachi Ltd Electronic certificate validity verifying system and method thereof
JP2005260759A (en) * 2004-03-12 2005-09-22 Dainippon Printing Co Ltd Electronic signature, and signature verification system
JP2006025162A (en) * 2004-07-08 2006-01-26 Hitachi Ltd Certificate verification information managing method based upon transaction

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002139996A (en) * 2000-11-01 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> Signature verification supporting device, method for confirming certificate and validity of public key, digital signature verifying method, and digital signature generating method
JP2003143137A (en) * 2001-10-31 2003-05-16 Ntt Data Corp Apparatus and method for lapse confirmation
JP2005203819A (en) * 2004-01-13 2005-07-28 Hitachi Ltd Electronic signature verification system
JP2005252318A (en) * 2004-03-01 2005-09-15 Hitachi Ltd Electronic certificate validity verifying system and method thereof
JP2005260759A (en) * 2004-03-12 2005-09-22 Dainippon Printing Co Ltd Electronic signature, and signature verification system
JP2006025162A (en) * 2004-07-08 2006-01-26 Hitachi Ltd Certificate verification information managing method based upon transaction

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008056619A1 (en) * 2006-11-09 2008-05-15 Canon Kabushiki Kaisha Content edit apparatus and content verification apparatus
JP2008124668A (en) * 2006-11-09 2008-05-29 Canon Inc Content editing device and content verification apparatus
JP4659721B2 (en) * 2006-11-09 2011-03-30 キヤノン株式会社 Content editing apparatus and content verification apparatus
US7930276B2 (en) 2006-11-09 2011-04-19 Canon Kabushiki Kaisha Content edit apparatus and content verification apparatus
WO2009093485A1 (en) * 2008-01-24 2009-07-30 Konica Minolta Holdings, Inc. Network system concerning authentication using electronic certificate, authentication server device, and authentication method
JP5556180B2 (en) * 2008-01-24 2014-07-23 コニカミノルタ株式会社 Network system, authentication server device, and authentication method related to authentication using electronic certificate
JP2011077933A (en) * 2009-09-30 2011-04-14 Secom Co Ltd Digital signature verifying apparatus
JP2018537022A (en) * 2015-10-14 2018-12-13 ケンブリッジ ブロックチェーン,エルエルシー System and method for managing digital identities
US10938835B2 (en) 2015-10-14 2021-03-02 Cambridge Blockchain, Inc. Systems and methods for managing digital identities
US11212296B2 (en) 2015-10-14 2021-12-28 Cambridge Blockchain, Inc. Systems and methods for managing digital identities
US11777953B2 (en) 2015-10-14 2023-10-03 Cambridge Blockchain, Inc. Systems and methods for managing digital identities

Similar Documents

Publication Publication Date Title
US8380985B2 (en) Certificate validation method and certificate validation server and storage medium
JP5329184B2 (en) Public key certificate verification method and verification server
US20070136361A1 (en) Method and apparatus for providing XML signature service in wireless environment
JP5576985B2 (en) Method for determining cryptographic algorithm used for signature, verification server, and program
EP1780938B1 (en) Public key infrastructure and certification authority system
US20110231662A1 (en) Certificate validation method and validation server
JP2008158686A (en) Program verification device and method, signature system based on program verification
CN101395599A (en) Generation of electronic signatures
CN110990484B (en) Information storage method, system, computer equipment and storage medium based on block chain
CN101951605A (en) Digital signature method of movable Widget
JP2005124097A (en) Route certificate distribution system, route certificate distribution method, computer executable route certificate distribution program, server device and client device
JP5785875B2 (en) Public key certificate verification method, verification server, relay server, and program
US11475726B1 (en) End to end verification of an election run over a public network
JP4846464B2 (en) System for issuing and verifying multiple public key certificates, and method for issuing and verifying multiple public key certificates
JP5115424B2 (en) Time certification apparatus, time certification method, and program
JP2004266652A (en) Device, method, program and record medium for generating lapse information of electronic certificate, system for generating the same, as well as device, method, program and record medium for verifying lapse of electronic certificate
JP2006165881A (en) Signature data preparation system, signature data preparation terminal, signature verification terminal and certificate verification server
GB2391438A (en) Electronic sealing for electronic transactions
KR102462411B1 (en) Platform and method for authenticating electronic announcements for electronic identification and authentication services (EDS)
KR100760028B1 (en) Long-term verification method and system for certificate of the electronic signature
CN113541930B (en) Method, device, system and storage medium for checking digital certificate state
JP2008252440A (en) Linkage electronic certificate issuing, utilization and verification system
JP2005117277A (en) Route certificate update system, method and program, and server and client device
Busygin et al. Approaches to protection of applications based on the TLS protocol against attacks using revoked certificates
JP4543789B2 (en) Certificate verification information management method based on transactions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070625

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100914

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110201